CVE-2025-25257

Суть уязвимости

CVE-2025-25257 представляет собой критическую уязвимость типа SQL-инъекция в составе FortiWeb. Проблема заключается в недостаточной фильтрации входных данных в определенных HTTP/HTTPS запросах.

Поскольку уязвимость эксплуатируется удаленно и не требует аутентификации (unauthenticated), злоумышленник может отправить специально сформированный запрос к веб-интерфейсу управления или API, что позволит ему выполнять произвольные SQL-команды в базе данных устройства. Это может привести к полной компрометации системы, извлечению конфиденциальных данных или обходу механизмов авторизации.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление микропрограммы (firmware) FortiWeb до версий, в которых данная ошибка исправлена.

1. Загрузите соответствующий образ прошивки с портала поддержки Fortinet (support.fortinet.com).
2. Выполните обновление через CLI или Web UI.

Исправленные версии: * FortiWeb версии 7.6.1 или выше * FortiWeb версии 7.4.3 или выше * FortiWeb версии 7.2.10 или выше * FortiWeb версии 7.0.13 или выше

Команда для проверки текущей версии через CLI:

get system status

Команда для установки обновления (через TFTP):

execute restore config tftp <filename> <tftp_ipv4>

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и ограничить доступ к интерфейсам управления.

1. Ограничьте доступ к административному интерфейсу (HTTPS/SSH), разрешив подключения только с доверенных IP-адресов (Trusted Hosts).

config system admin
edit <administrator_name>
set trusthost1 <trusted_ip_mask>
next
end

1. Отключите доступ к административному интерфейсу на внешних (Internet-facing) интерфейсах.

config system interface
edit <interface_name>
unset allowaccess
set allowaccess ping ssh
next
end

1. Используйте вышестоящее устройство (например, FortiGate с активным IPS) для блокировки попыток SQL-инъекций, нацеленных на порты управления FortiWeb. Убедитесь, что сигнатуры IPS обновлены до актуального состояния.